0

我已经为我的问题研究了一个可能的解决方案,但似乎我的更具体。

所以,我有一个aws_kms_keyfor_each表达式创建的资源:

for_each = { for keys in var.parameters : keys.name => keys if local.secrets.init.self == true }

没什么特别的,一切正常,但是我不知道如何使用arn创建的密钥的输出。这是我的输出:

output "key" {
   description = "The 'Amazon Resource Name (ARN)' of 'KMS' key(s)"
   value       = zipmap( 
     values(aws_kms_alias.global)[*].name, values(aws_kms_key.global)[*].arn
   )
}

我之前使用过for表达式,但在这种情况下,我必须使用索引来分配arnkms 键,这显然不是很好甚至是不可接受的做法。这是我的旧输出方式:

output "key" {
   description = "The 'Amazon Resource Name (ARN)' of 'KMS' key(s)"
   value       = [ for key, value in aws_kms_key.global : value.arn ]
}

Usage

flowlog_encryption  = [{
  keys            = element(module.secrets.*.key, 0)[0]
  retention       = 14
}]

“旧”方式的问题是,创建资源时我只能使用索引访问,当某些事情发生变化时,索引的顺序也在变化,所以当我创建一个键dynamodb并且flowlogsdynamodb 获取键flowlogsflowlogs取关键dynamodb,完全随机的行为。

4

1 回答 1

1

您的新输出(使用key的那个zipmap)将生成一个映射,其中包含别名键和键 arn 的相应值。这将如下所示:

output "key" {
   description = "The 'Amazon Resource Name (ARN)' of 'KMS' key(s)"
   value       = {
        alias_name1 = key_arn1
        alias_name2 = key_arn2
        alias_name3 = key_arn3
   }
}

假设这module.secrets.key是您上面的输出键,您将按如下方式使用它:

flowlog_encryption  = [{
  keys            = module.secrets.key["alias_name1"]
  retention       = 14
}]

或使用查找

flowlog_encryption  = [{
  keys            = lookup(module.secrets.key, "alias_name1", "default_key_arn")
  retention       = 14
}]
于 2021-02-01T10:39:01.903 回答